Netwerkbeveiliging Nederlandse gemeenten nog lang niet op orde
De netwerkbeveiliging van Nederlandse gemeenten, berekend door VPNdiensten.nl. In het vervolg van dit artikel lees je meer over de totstandkoming van deze kaart.
Door de toenemende digitalisering en verschuivende verantwoordelijkheden beheren gemeenten steeds meer privacygevoelige gegevens van burgers. Maar hoe veilig zijn deze gegevens eigenlijk voor bijvoorbeeld datalekken? En wat doen gemeenten tegen digitale dreigingen als hacks, ransomware en malware?
Om het basisniveau voor informatiebeveiliging binnen de Nederlandse overheid te regelen, is sinds 1 januari 2020 de Baseline Informatie Overheid (BIO) van kracht. Hierin is een standaard verplicht gesteld om verdachte incidenten op gemeentelijke netwerken te monitoren en te melden; een zogenoemde SIEM/SOC. Uit een inventarisatie van VPNdiensten.nl blijkt echter dat maar 21% van de gemeenten beschikt over een dergelijke verplichte voorziening.
Uit de inventarisatie blijkt verder dat gemeenten ook maar beperkt gebruik maken van andere technologieën die hun netwerken veiliger maken. Zo zijn nog lang niet alle gemeenten aangesloten op de Gemeentelijke Gemeenschappelijke Infrastructuur (GGI-netwerk) en het beveiligde WiFi-netwerk govroam. Slechts 8% van alle 352 gemeenten maakt gebruik van deze drie vormen van netwerkbeveiliging.
Hoe dragen deze technologieën bij aan netwerkbeveiliging?
Waarom zijn deze technologieën eigenlijk belangrijk, en hoe zorgen ze voor een betere bescherming van gemeentelijke gegevens? We vroegen het Martijn van Calker, die als solutions architect bij True gespecialiseerd is in het managen van veilige cloudomgevingen.
Volgens Van Calker is vooral een SIEM/SOC eigenlijk onmisbaar: “Een SIEM/SOC is een centraal punt binnen je netwerk waarin alle componenten gemonitord en gelogd worden. Op basis daarvan kunnen profielen worden gebouwd van gebruikers en normaal gebruik. Zo kunnen dingen die daarvan afwijken, anomalies, sneller worden gedetecteerd. SIEM staat voor het systeem, SOC voor de fysieke ruimte met gekoppelde computers, zoals je die ook wel in films ziet.”
Aansluiting op het GGI-netwerk, een landelijk netwerk van gemeenten, kan volgens Van Calker gezien worden als een goede aanvulling: “Doordat het een besloten netwerk is waar geen publiek internet tussen zit, zijn de gevolgen bij een foutje veel kleiner. De meeste datalekken ontstaan namelijk door configuratiefouten. Dan scheelt het als gegevens niet direct voor iedereen beschikbaar zijn.” Volgens de website van VNG realisatie was het de bedoeling dat alle gemeenten voor eind 2020 op het GGI-netwerk waren aangesloten.
Govroam, een centrale server voor gemeentelijke WiFi-netwerken, is volgens cloudspecialist Van Calker vooral makkelijk voor de gebruikers, maar draagt ook bij aan een betere beveiliging: “Doordat mensen centraal inloggen, kan ook alles centraal gemonitord en beheerd worden. En doordat iedereen met eigen credentials inlogt, is beter na te gaan wat mensen precies op een netwerk uitvoeren.”
Wat zegt dit over de netwerkbeveiliging van een gemeente?
Volgens Van Calker vindt dat het al dan niet gebruiken van deze technologieën een goede indicatie geeft van de netwerkbeveiliging van een gemeente. “Het zegt natuurlijk niet alles, maar deze standaarden dragen absoluut bij aan een betere informatiebeveiliging. Als ze niet gebruikt worden, brengt dat bepaalde risico’s met zich mee.”
Een goede beveiliging van netwerken is volgens hem hard nodig:
“Als je het nieuws volgt, zie je dat het aantal datalekken de laatste tijd flink toeneemt.”
De netwerkbeveiliging van Nederlandse gemeenten in beeld
VPNdiensten.nl heeft de netwerkbeveiliging van gemeenten in kaart gebracht. Hiervoor is gekeken naar welke van de drie eerder besproken technologieën in elke gemeente in gebruik zijn. De gegevens zijn afkomstig uit de database Waarstaatjegemeente.nl.
Omdat een SIEM/SOC meer bijdraagt aan de beveiliging van een netwerk dan aansluiting op het GGI-netwerk en govroam, is er een weging toegepast. Deze is als volgt:
- SIEM/SOC in gebruik: 50
- Aansluiting op GGI-netwerk: 25
- Aansluiting op govroam: 25
Op basis hiervan krijgt elke gemeente een score van 0 (geen van de technologieën in gebruik) tot 100 (allemaal in gebruik.
Dit levert het volgende beeld op:
Zoals eerder vermeld, heeft slechts 8% van alle 352 gemeenten alle drie onderzochte vormen van netwerkbeveiliging in gebruik. Bijna 21% van de gemeenten heeft geen van de technologieën ingevoerd.
De best scorende gemeenten zijn groen op de kaart. De minst scorende gemeenten zijn rood. Daarop volgen gemeenten met een score van 50 (oranje) en 75 (blauw).
Kleine gemeenten scoren relatief goed
Opvallend is dat kleine gemeenten verder lijken te zijn met hun netwerkbeveiliging dan grotere. 11 van de 28 gemeenten die alle technologieën gebruiken, vallen in deze categorie. Dit is ruim 39%.
Van de kleinste gemeenten (minder dan 25.000 inwoners) heeft bijna 25% SIEM/SOC-dienstverlening in gebruik. Bij kleine tot middelgrote gemeenten (25.000-100.000 inwoners) ligt dit op 20%. Van de gemeenten met meer dan 100.000 inwoners maakt slechts 15% gebruik van SIEM/SOC, en van de grote vier steden geen één. De grote steden zijn overigens wel vrijwel allemaal (behalve Den Haag) aangesloten op het GGI-netwerk, en maken allemaal gebruik van govroam.
Het feit dat kleine gemeenten beter scoren, kan verklaard worden doordat kleine organisaties makkelijker veranderingen kunnen doorvoeren.
Digitale koplopers vaak buiten de randstad
Gemeenten die de drie onderzochte vormen van netwerkbeveiliging gebruiken, zijn onder meer Deventer, Olst-Wijhe en Raalte. Deze gemeenten die samenwerken als DOWR hebben informatieveiligheid dan ook uitgeroepen tot een van de speerpunten van hun beleid. Van de grotere steden is Nijmegen de enige die zijn zaakjes helemaal op orde heeft. Andere gemeenten die hun netwerkbeveiliging serieus lijken te nemen, zijn onder meer Amstelveen, Hengelo, Meierijstad en Westerkwartier. Het valt op dat veel van de koplopers op dit gebied gemeenten buiten de randstad zijn.
Deelscores
De bovenstaande scores zijn gebaseerd op het gebruik van de verschillende standaarden. Hieronder zijn deze uitgesplitst en kun je zien welke gemeenten de verschillende technologieën gebruiken.
Bekijk hier of jouw gemeente een SIEM/SOC in gebruik heeft:
Zoals eerder vermeld, heeft slechts 21% van de gemeenten een SIEM/SOC in gebruik. Deze gemeenten liggen veelal buiten de randstad. Vooral in het noorden, zuiden en oosten van het land liggen groepjes gemeenten die een monitoringscentrum in gebruik hebben.
Bekijk hier of jouw gemeente een GGI-netwerk in gebruik heeft:
Iets meer dan 20% van de gemeenten is aangesloten op govroam. Daarmee is het met een kleine marge de minst gebruikte van de drie onderzochte technologieën. Wat opvalt aan de kaart is dat de gemeenten die govroam wel en niet gebruiken gegroepeerd lijken te zijn.
Bekijk hier of jouw gemeente govroam in gebruik heeft:
Iets meer dan 20% van de gemeenten is aangesloten op govroam. Daarmee is het met een kleine marge de minst gebruikte van de drie onderzochte technologieën. Wat opvalt aan de kaart is dat de gemeenten die govroam wel en niet gebruiken gegroepeerd lijken te zijn.
Conclusie
Het merendeel van de Nederlandse gemeenten maakt op dit moment dus nog geen gebruik van verplichte en volgens experts zeer nuttige vormen van netwerkbeveiliging. Mogelijk leidt dit tot onnodige datalekken en andere veiligheidsrisico’s. Dit ondanks het feit dat er onder de naam GGI-Veilig collectief faciliteiten zijn ingekocht voor het grootste deel van alle gemeenten.
Reactie VNG
De vereniging van Nederlandse gemeenten (VNG) zegt niet bij te houden welke standaarden gemeenten gebruiken. Woordvoerder Mark Zellenrath:
“De VNG is geen toezichthouder. Gemeenten rapporteren zelf richting hun gemeenteraad.”
